Кажется, сегодня все говорят об уязвимости POODLE . И всем рекомендуется отключить SSLv3 в Apache, используя следующую директиву конфигурации:
SSLProtocol All -SSLv2 -SSLv3
вместо по умолчанию
SSLProtocol All -SSLv2
Я сделал это, и не радуюсь - после неоднократного тестирования с различными инструментами ( вот быстрый ), я обнаружил, что SSLv3 с радостью принят моим сервером.
Да, я перезапустил Apache. Да, я сделал рекурсивный анализ grep
для всех файлов конфигурации, и у меня нигде нет переопределения. И нет, я не использую какую-то древнюю версию Apache:
[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built: Jul 23 2014 14:17:29
Итак, что дает? Как действительно отключить SSLv3 в Apache?
ssl
apache-httpd
Богдан Стэнческу
источник
источник
Ответы:
У меня была такая же проблема ... Вы должны включить
SSLProtocol all -SSLv2 -SSLv3
в каждый раздел VirtualHost в httpd.confРазделы VirtualHost обычно находятся в конце файла httpd.conf. Так, например:
Также проверьте ssl.conf или httpd-ssl.conf или аналогичные, потому что они могут быть установлены там, не обязательно в httpd.conf
источник
SSLProtocol
настроенный вне разделов VirtualHost, будет применяться ко всем виртуальным хостам.nmap -sV --script ssl-enum-ciphers -p 443 <hostname>
.SSLProtocol
систему, не редактируя каждый VirtualHost?У меня была такая же проблема на Ubuntu 14.04. Прочитав это, я отредактировал раздел "SSLProtocol" в
/etc/apache2/mods-available/ssl.conf
.SSLProtocol all
SSLProtocol all -SSLv2 -SSLv3 -TLSV1
Но это не сработало. Поэтому я тоже отредактировал следующий раздел "SSLCipherSuite"
/etc/apache2/mods-available/ssl.conf
.SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1
И теперь это работает для меня.
Кстати, на Cipher Suites не влияет POODLE, только протокол - но большинство браузеров в порядке с отключенным SSLv3 Cipher Suite.
Не используйте это для почтового сервера! Или вы (возможно) столкнетесь с проблемой невозможности получения ваших писем на некоторых устройствах.
источник
Для Ubuntu 10.04
Чтобы отключить SSLv3 для всех активных Vhosts, вам нужно
/etc/apache2/mods-available/ssl.conf:
источник
Сегодня утром у меня была похожая проблема, и я обнаружил еще один виртуальный хост, поддерживающий SSLv3, поэтому весь сервер отвечает на соединения SSLv3.
Поэтому убедитесь, что ни на одном из ваших хостов не активирован SSLv3.
источник
Убедитесь, что SSLCipherSuite не содержит! SSLv3. В этом контексте это также относится к TLS1.0 и TLS1.1.
Например, если ваша конфигурация - SSLProtocol All , только TLS1.2 будет доступен из-за того, как SSLCipherSuite настроен с! SSLv3.
источник
Если у пользователей CentO возникли проблемы с редактированием файла конфигурации SSL через SSH, попробуйте отключить SSLv3 через WHM :
Шаг 1. Перейдите в редактор «Включить»
- Войдите в WHM. - Откройте окно «Конфигурация Apache» и нажмите «Включить редактор».
Шаг 2: Редактируйте Включения
-На «Pre Main Include», выберите «Все версии». Таким образом, ваш сервер будет защищен, если вы измените свою версию Apache. Когда выбрано, введите следующее в текстовое поле:
На CentOS / RHEL 6.x:
SSLHonorCipherOrder On
SSLProtocol -Все + TLSv1 + TLSv1.1 + TLSv1.2
На CentOS / RHEL 5.x:
SSLHonorCipherOrder On
SSLProtocol -All + TLSv1
... и затем нажмите Обновить .
Как только вы нажмете кнопку «Обновить», вам будет предложено перезапустить Apache; сделай так в это время.
первоисточник: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/
источник
Метод, который вы используете, предназначен для новой версии Apache и Openssl. Возможно, что новая версия этих программ не установлена в вашей системе, проверьте текущую установленную версию.
Поскольку
SSLv2
и то иSSLv3
другое уязвимо от некоторых атак, поэтому было бы лучше использовать только TLS. Поэтому измените ваш apache conf файл следующим образом:или же
источник
У меня была похожая проблема, и я проверил, что все правильные настройки apache были правильными.
Однако то, что я пропустил, было то, что у меня был nginx в качестве обратного прокси перед apache. Я также использую Plesk, и это из их руководства по исправлениям POODLE :
источник